L’IoT entre passion et raison

Dans un excellent article publié le 25 juin par The Register (un média anglais), l’auteur nous met en garde contre deux grands dangers qui guettent le monde des objets connectés : l’amour de la Data et les problèmes de sécurité liés à la production à grande échelle. Les prévisions de nombreux instituts parient sur une explosion des objets connectés, avec près de 15 milliards d’objets vendus d’ici quelques années (d’autres estimations vont même jusqu’à 30 milliards). Or ces objets sont un enjeu essentiel pour tous ceux qui souhaitent exploiter d’une manière ou d’une autre les données qu’ils recueillent en temps réel et qui sont le plus souvent extrêmement personnelles. Le volume de data ainsi généré pourrait atteindre ce niveau astronomique de 500 Zegabytes d’ici la fin 2019, comme l’indique Cisco.

Dès lors la question principale demeure : que vont en faire ces opérateurs, ces industriels qui nous les vendent en nous promettant une vie meilleure, puisque connectée et analysée en permanence ?

Iot, où sont stockées nos données ?

Là où les problèmes commencent, c’est lorsque l’on imagine stocker ces données quelque part : où sont-elles et y sont-elles en sécurité ? De deux choses l’une, soit elles restent sur le device connecté, soit elles sont récupérées et transférées sur un serveur en attendant d’être analysées. Or d’après John Moor, le directeur général de la Fondation pour la sécurité des IoT, alors que de manière générale la sécurité de la data se traite sur trois axes : confidentialité, intégrité et accessibilité, pour l’IoT il faudrait se concentrer sur la confidentialité et l’accessibilité. Car la data récupérée est utilisée à des fins d’analyse et d’amélioration des systèmes de production pour l’entreprise d’une part, et de la vie des personnes d’autre part. Que se passerait-il si pendant que la donnée reste figée sur l’objet, un tiers extérieur s’introduisait dans les circuits intégrés et venait modifier cette donnée ?

On comprend alors que les données remontées pourraient fausser voire anéantir une unité de production ou une Appli, voire mettre en danger la santé d’une personne ou d’une population entière (en provoquant par exemple l’arrêt d’une usine ou au contraire sa surchauffe).

Des réponses pour protéger les données

L’une des réponses apportées par la recherche est la technologie PUFs (physically unclonable functions) développée dans les modules de sécurité hardware. Les PUFs analysent les signaux électriques aléatoires émis par les circuits intégrés pour produire une clé de cryptage unique à la demande et qui n’a plus besoin d’être stockée sur le device. On comprend alors que le hacker n’a plus aucun accès à cette clé qui est éphémère et non reproductible. L’ennui reste le coût d’intégration de cette technologie dans des objets connectés qui, produits à une échelle industrielle, sont proposés à des prix relativement bas sur le marché.

Les problèmes liés au transfert de la data de l’IoT vers les serveurs pour procéder à l’analyse sont en fait relatifs à la bande passante disponible. Si celle-ci est faible, l’industriel ou l’opérateur va la récupérer plus tard et à un rythme plus lent, ouvrant ainsi la porte au piratage. Mais parfois la donnée doit être traitée instantanément par des « ordinateurs de bord » comme par exemple dans les véhicules autonomes. Il n’est pas possible d’envoyer dans le cloud la donnée récupérée par les instruments, les caméras embarquées puisqu’elle sert à prendre des décisions en temps réel. Dans ce cas, l’industriel doit séparer la data qui doit être analysée « sur place » de celle qui peut être traitée plus tard à des fins d’analyse des performances et de machine learning par exemple.

On le voit, il y a un dilemme naissant entre cette appétence pour la data et la nécessité de distinguer celle qui est indispensable au fonctionnement, de celle qui nourrit des projections ou des tentatives de prédiction des usages et comportements des personnes. Garantir la sécurité de l’IoT passe peut-être par un allègement du volume de données ainsi récupérées. C’est du moins, ce que certains experts recommandent à ce jour. La data obésité débouchant souvent sur de graves problèmes de sécurité.